漏洞概述
思科(Cisco)Packaged Contact Center Enterprise(Packaged CCE)和 Cisco Unified Contact Center Enterprise(Unified CCE)的 Web 管理界面中存在多个漏洞,可能允许经过身份验证的远程攻击者对受影响设备的 Web 管理界面用户发起跨站脚本(XSS)攻击。该漏洞源于系统未对用户输入进行充分验证,攻击者可注入恶意脚本代码,从而在受害用户的浏览器上下文中执行任意脚本或窃取敏感信息。
漏洞详情
- CVE 编号:CVE-2026-20055
- 漏洞类型:跨站脚本(XSS)(CWE-79)
- CVSS 评分:4.8(中危)
CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N - 影响版本:Cisco Packaged CCE 和 Cisco Unified CCE 的受影响版本(具体版本请参考厂商公告)
影响范围
运行受影响版本的 Cisco Packaged Contact Center Enterprise(Packaged CCE)和 Cisco Unified Contact Center Enterprise(Unified CCE)的系统,其 Web 管理界面用户可能受到 XSS 攻击的影响。
风险分析
攻击者需具备有效的管理员凭证,并诱使目标用户访问包含恶意脚本的特定管理页面。成功利用此漏洞后,攻击者可在受害者浏览器中执行任意 JavaScript 代码,可能导致会话劫持、Cookie 窃取、钓鱼攻击或敏感信息泄露等后果。由于攻击需要高权限账户和用户交互,整体风险评级为中危。
修复建议
- 建议用户及时关注并应用思科官方发布的安全更新或补丁,以修复该漏洞。
- 在无法立即升级的情况下,应严格限制 Web 管理界面的访问权限,仅允许可信管理员访问,并提高用户对可疑链接的警惕性,避免点击不可信来源的 URL。
